Специалисты обнаружили троян, маскирующийся под антивирус Касперского

16 октября 2015 года

Специалисты антивирусной компании "Доктор Веб" обнаружили вирус, маскирующийся под одну из антивирусных утилит "Лаборатории Касперского". Подробное описание трояна было опубликовано на сайте компании.

Обнаруженный вирус, получивший название Trojan.BPLug.1041, распространяется через ряд взломанных сайтов, часть из которых связана с популярными телешоу. Если пользователь переходит на зараженный сайт с другого домена, а также при соблюдении ряда условий (использование 32-битной ОС семейства Windows или ОС семейства Mac OS X с архитектурой Intel и браузера, отличного от Opera), вредоносный скрипт открывает на вкладке, откуда был осуществлен переход, страницу злоумышленников.

Специальный обработчик, встроенный в код этой веб-страницы, не позволяет закрыть вкладку и выводит на экран окно, предлагающее пользователю установить некое расширение для браузера. При этом злоумышленники выдают данное расширение за утилиту KIS, созданную "Лабораторией Касперского".

Если пользователь соглашается на установку плагина, то программа требует предоставить ей ряд специальных разрешений и после инсталляции отображается в списке установленных расширений браузера под именем "Щит безопасности KIS".

Сообщается, что основное предназначение троянца заключается во встраивании постороннего содержимого в просматриваемые пользователем веб-страницы. При этом на всех сайтах вредоносная программа блокирует демонстрацию сторонней рекламы с любых доменов, кроме тех, список которых предусмотрен в ее конфигурации. Стоит отметить, что расширение содержит список сайтов, на которых троян не показывает рекламу. Этот список включает сайты fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru и некоторые другие.

Впрочем, демонстрацией рекламы возможности трояна Trojan.BPLug.1041 не ограничиваются. Вредоносная программа также отправляет на сервер злоумышленников информацию о других расширениях, установленных на инфицированном компьютере. При этом сервер может указать трояну, какие из них следует отключить.

Наконец, если пользователь зараженного компьютера авторизуется в социальной сети "Одноклассники", то вирус попытается предоставить определенному приложению доступ к API этой социальной сети от имени жертвы путем авторизации по протоколу OAuth, запросив при этом права на изменение статуса, просмотр, редактирование, загрузку фотографий, просмотр и отправку сообщений от имени пользователя, а также на доступ к некоторым другим функциям.

Специалисты в области кибербезопасности рекомендуют пользователям воздержаться от загрузки и установки подозрительных расширений. В настоящее время компания "Доктор Веб" добавила Trojan.BPLug.1041 в свои базы, а также проинформировала о проблеме администрацию взломанных злоумышленниками сайтов.